目录
本报告是使用卡巴斯基安全网络(KSN)处理的非个性化数据编写的。这些指标基于卡巴斯基实验室产品的不同用户数量,这些用户启用了KSN功能,在特定时间内至少遇到过一次勒索软件,以及卡巴斯基实验室专家对勒索软件威胁情况的研究。
本报告涵盖2016年4月至2017年3月威胁的演变,并将其与2015年4月至2016年3月期间进行比较。
简要介绍一年内勒索软件的演变
Ransomware-as-a-Service的兴起
2016年5月,卡巴斯基实验室发现了Petya勒索软件,它不仅加密存储在计算机上的数据,还覆盖了硬盘驱动器的主引导记录(MBR),使受感染的计算机无法启动进入操作系统。
当勒索软件创建者“按需”提供恶意产品,由多个分销商传播并获得利润减少时,恶意软件就是勒索软件即服务模式的一个显着例子。为了获得利润,Petya的作者在他们的恶意软件中插入了某些“保护机制”,不允许未经授权使用Petya样本。
虽然Ransomware-as-a-Service不是一种新趋势,但这种传播模式仍在继续发展,越来越多的勒索软件创建者提供其恶意产品。事实证明,这种方法极大地吸引了缺乏开发自己的恶意软件的技能,资源或倾向的犯罪分子。
2016年出现并使用此模型的勒索软件的显着例子是Petya / Mischa和Shark勒索软件,后来以Atom名称重新命名。
针对性攻击的增长
2017年初,卡巴斯基实验室的研究人员发现了一种新兴且危险的趋势:越来越多的网络犯罪分子将注意力从针对私人用户的攻击转向针对企业的针对性勒索软件攻击。
这些攻击主要集中在全球金融机构。卡巴斯基实验室的专家遇到了支付需求超过50万美元的案例。
随着勒索软件行为者开始为新的和更有利可图的受害者开战,这一趋势令人震惊。在野外存在更多潜在的勒索软件目标,攻击造成更加灾难性的后果。
本报告中的分析试图评估问题的严重程度,并强调全球勒索软件发展新角度的可能原因。
主要数字
- 2016年4月至2017年3月期间遇到勒索软件的用户总数比前12个月(2015年4月至2016年3月)增加了11.4% - 从全球2,315,931到2,581,026用户;
- 从遇到恶意软件的用户总数中至少一次遇到勒索软件的用户比例下降了近0.8个百分点,从2015 - 2016年的4.34%下降到2016 - 2017年的3.88%;
- 在遇到勒索软件的人中,遇到密码的比例上升了13.6个百分点,从2015-2016的31%上升到2016 - 2017年的44.6%;
- 受密码攻击的用户数量几乎增加了两倍,从2015 - 2016年的718,536增加到2016 - 2017年的1,152,299;
- 受移动勒索软件攻击的用户数量从2015 - 2016年的136,532名用户下降了4.62%至130,232名。
结论和预测
根据本报告中描述的统计数据和趋势,我们得出以下结论:
- 勒索软件的演员开始互相吞噬。这是勒索软件团伙之间日益激烈的竞争的一个迹象。
- 地理统计数据显示,攻击者转向以前未接触过的国家,用户并没有为打击勒索软件做好充分准备,而且犯罪分子之间的竞争也不是很高。
- 令人担忧的是,勒索软件攻击越来越成为攻击目标,在全球范围内打击金融基础设施。趋势的原因很明显 - 犯罪分子认为针对企业的有针对性的勒索软件攻击可能比对私人用户的大规模攻击更有利可图。
- 数据显示,PC上的勒索软件仍在上升 - 尽管增长速度较慢。
- 此外,在观察期内遭受移动勒索软件攻击的用户数量下降。这可能是安全解决方案供应商,各种执法机构和其他参与者之间成功合作的标志。全球媒体对最突出的欺诈活动的报道推动了威胁意识的提高,也可以发挥作用。
- 另一个原因是联合行业努力发展以保护用户免受加密勒索软件的侵害。
- 尽管统计数据显示勒索软件的攻击大规模运行,但大多数移动攻击的责任仅在于几组恶意软件,其中大多数是通过联盟计划传播的。与此同时,PC勒索软件显示出相反的状态,许多恶意攻击者在野外进行临时攻击。
除了这些结论之外,我们认为当前的勒索软件威胁形势为这种威胁在未来如何演变的若干预测提供了良好的基础。
预测
- 勒索模型将继续存在。更稳定的增长,平均水平更高,可能预示着一个惊人的趋势:从混乱和零星的演员试图在威胁形势中获得立足点,转向稳定和更高的数量。
- 鉴于勒索软件市场竞争日益激烈的迹象,Ransomware-as-a-Service也越来越受欢迎,吸引了新的参与者。
- 勒索软件的复杂性和多样性正在不断增长,通过不断发展和日益高效的地下生态系统,为那些技能,资源或时间较少的人提供了大量现成的解决方案。
- 犯罪 - 犯罪基础设施的发展正在推动出现易于使用的临时工具,以执行有针对性的攻击并勒索金钱,使攻击更加分散。这种趋势已经发生,并可能在未来继续。
- 保护用户免受加密勒索软件攻击的全球计划将继续保持增长势头。
反击
通过技术:卡巴斯基实验室提供免费的反勒索软件工具,可供所有企业下载和使用,无论他们安装何种安全解决方案。
通过合作: 不再赎金计划。2016年7月25日,荷兰国家警察局,欧洲刑警组织,英特尔安全局和卡巴斯基实验室宣布启动No More Ransom项目 - 一项将公共和私人组织联合起来的非商业性举措,旨在告知人们勒索软件和帮助的危险他们恢复他们的数据。该在线门户网站目前拥有50种解密工具,其中7种由卡巴斯基实验室制作。自核磁共振发射以来,全世界有超过29,000名受害者能够通过卡巴斯基实验室工具免费解锁文件。NMR门户网站目前提供14种语言版本:英语,荷兰语,法语,意大利语和葡萄牙语,德语,西班牙语,斯洛文尼亚语,芬兰语,希伯来语,乌克兰语,韩语和日语。